ProHoster > Блог > Whakahaerenga > Nga tohutohu me nga tinihanga Linux: tūmau, whakatuwhera ake

Nga tohutohu me nga tinihanga Linux: tūmau, whakatuwhera ake

Mo te hunga e hiahia ana ki te whakarato i a raatau, i a raatau e arohaina ana, me te uru atu ki o raatau kaitoro mai i nga waahi katoa o te ao ma te SSH / RDP / etahi atu, he iti RTFM / spur.

Me mahi tatou me te kore VPN me etahi atu pere me nga whiowhio, mai i tetahi taputapu kei a koe.

Na kia kore ai koe e mahi nui me te tūmau.

Ko nga mea katoa e hiahiatia ana e koe mo tenei patoto, ringa totika me te 5 meneti mahi.

"Kei runga i te Ipurangi nga mea katoa," o te akoranga (ara i runga i te Habré), engari ka tae mai ki tetahi whakatinanatanga motuhake, koinei te waahi ka tiimata ...

Ka parakatihi taatau ki te whakamahi i te Fedora/CentOS hei tauira, engari kaore he mea nui.

He pai te spur mo te hunga timata me nga tohunga mo tenei kaupapa, no reira ka puta nga korero, engari ka poto ake.

1. Tūmau

  • tāuta patoto-tūmau:
    yum/dnf install knock-server

  • whirihora (hei tauira i te ssh) - /etc/knockd.conf:

    [options]
    UseSyslog
    interface = enp1s0f0
[SSHopen]
    sequence        = 33333,22222,11111
    seq_timeout     = 5
    tcpflags        = syn
    start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    cmd_timeout     = 3600
    stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
[SSHclose]
    sequence        = 11111,22222,33333
    seq_timeout     = 5
    tcpflags        = syn
    command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

    Ko te waahanga "tuwhera" kua tautuhia ki te kati aunoa i muri i te 1 haora. Kaore koe e mohio ...

  • /etc/sysconfig/iptables:

    ...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
...

  • whakamua:

    service iptables restart
service knockd start

  • ka taea e koe te taapiri RDP ki te Windows Server mariko e huri ana ki roto (/etc/knockd.conf; whakakapia te ingoa atanga kia rite ki to reka):

    [RDPopen]
    sequence        = 44444,33333,22222
    seq_timeout     = 5
    tcpflags        = syn
    start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
    cmd_timeout     = 3600
    stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
[RDPclose]
    sequence        = 22222,33333,44444
    seq_timeout     = 5
    tcpflags        = syn
    command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

    Ka whai matou i a matou whana katoa mai i te kiritaki i runga i te tūmau me te whakahau iptables -S.

2. Arataki ki nga rake

knockd.conf:

Kei roto ano i te mana nga mea katoa (engari kaore i te tika), engari ko te patoto he hoa tino kaikai ki nga karere, no reira me tino tupato koe.

  • putanga
    I roto i nga putunga Fedora/CentOS, ko te patototanga hou mo tenei ra ko 0.63. Ko wai e hiahia ana ki te UDP - kimihia nga paatete 0.70.
  • atanga
    I roto i te whirihoranga Fedora/CentOS taunoa tenei raina kahore. Tāpirihia ki o ringaringa, ki te kore ka kore e mahi.
  • waahi
    I konei ka taea e koe te whiriwhiri i runga i to hiahia. He mea tika kia nui te wa o te kiritaki mo nga whana katoa - ka pakaru te karetao matawai tauranga (a 146% ka matawai).
  • timata/mutu/whakahau.
    Mena he tono kotahi, ka whakahau, mena e rua, katahi ka timata_whakahau+whakamutu_whakahau.
    Mena ka he koe, ka noho wahangu te patoto, engari karekau e mahi.
  • kawa
    Ko te tikanga, ka taea te whakamahi UDP. I roto i te mahi, i whakauruhia e ahau te tcp me te udp, a ka taea e te kaihoko mai i te takutai i Bali te whakatuwhera i te kuaha i te rima o nga wa. Na te mea i tae mai a TCP i te wa e hiahiatia ana, engari ko te UDP ehara i te mea pono. Engari he mea reka tenei, ano.
  • raupapa
    Ko te rake implicit kia kaua e mokowhiti nga raupapa... me pehea te whakatakoto...

Hei tauira, tenei:

open: 11111,22222,33333
close: 22222,11111,33333

Ma te whana 11111 tuwhera ka tatari mo te whana e whai ake nei i te 22222. Heoi, i muri i tenei whana (22222) ka timata te mahi. tata a ka pakaru nga mea katoa. Ka whakawhirinaki ano tenei ki te roa o te kiritaki. Ko enei mea ©.

iptables

Mena kei roto /etc/sysconfig/iptables tenei:

*nat
:PREROUTING ACCEPT [0:0]

Kare e tino whakararuraru i a maatau, na konei:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Ka pokanoa.

I te mea ka taapirihia e te patoto nga ture ki te mutunga o te mekameka INPUT, ka paopao tatou.

A ko te whakakore i tenei paopao ko te whakatuwhera i te motuka ki nga hau katoa.

Kia kore ai e ngaro i roto i nga iptables he aha te whakauru i mua i te aha (penei iwi whakaaro) kia ngawari ake:

  • taunoa i runga i te CentOS/Fedora te tuatahi ko te ture ("ko te mea kaore i te rahuitia ka whakaaetia") ka whakakapihia e te ritenga,
  • a ka tangohia e matou te ture whakamutunga.

Me penei te hua:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

Ae ra, ka taea e koe te REJECT hei utu mo te DROP, engari ma te DROP ka pai ake te oranga mo nga potae.

3. Kiritaki

Ko tenei waahi te mea tino pai (mai i taku tirohanga), na te mea me mahi koe ehara i te takutai anake, engari mai i tetahi taputapu.

Ko te tikanga, he maha nga kaihoko kua whakarārangihia ki runga pae kaupapa, engari no te raupapa ano tenei "kei runga ipurangi nga mea katoa." Nō reira, ka whakarārangihia e au ngā mahi kei ōku maihao ki konei, ināianei.

I te wa e whiriwhiri ana koe i tetahi kaihoko, me mohio koe kei te tautoko i te waahanga whakaroa i waenga i nga paatete. Ae, he rereketanga kei waenga i nga takutai me te 100 megabits kaore rawa e kii ka tae mai nga paakete i runga i te ota tika i te wa tika mai i tetahi waahi.

Ae, i te wa e whakatuu ana i tetahi kaihoko, me whiriwhiri koe i te whakaroa. He nui rawa te waahi - ka whakaekea e nga karetao, he iti rawa - kaore e whai wa te kaihoko. He roa rawa te roa - kare te kiritaki e tae i te wa, ka puta mai ranei he taupatupatu a te hunga poauau (tirohia "rake"), he iti rawa - ka ngaro nga kete i runga ipurangi.

Ki te wa mutunga=5s, whakaroa=100..500ms he tino mahi

Windows

Ahakoa he aha te ahua rorirori, he mea kore noa ki a Google he kaihoko patoto marama mo tenei turanga. Ko te CLI e tautoko ana i te whakaroa, TCP - me te kore kopere.

I tua atu, ka taea e koe te tamata koia tenei. Te ahua nei ehara taku Google i te keke.

Linux

He ngawari nga mea katoa i konei:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

Ko te huarahi ngawari ko te whakauru i te tauranga mai i te homebrew:
brew install knock
me te tuhi i nga konae puranga e tika ana mo nga whakahau penei:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

He kōwhiringa mahi ko KnockOnD (kore utu, mai i te toa).

Android

"Patupatuhia nga Tauranga" Ehara i te panui, engari ka mahi noa. Na ka tino aro mai nga kaihanga.

Ko te tohu PS mo Habré, he pono, ma te Atua ia e manaaki i tetahi ra ...

UPD1: whakawhetai ki ki te tangata pai kitea kiritaki mahi i raro i te Matapihi.
UPD2: Ko tetahi atu tangata pai i whakamahara mai ki ahau ko te whakatakoto ture hou ki te mutunga o nga iptables ehara i te mea whai hua i nga wa katoa. Engari - kei te whakawhirinaki.

Source: will.com

Tāpiri i te kōrero